Bents Blog

Auf  Grund eines Hinweises eines treuen und netten Lesers, will ich kurz auf ein ziemlich brisantes Problem hinweisen, welches seit dem letzten Microsoft-Patch-Day vom 14. Juni 2016 für einige Domänenadministratoren interessant sein dürfte. Mit dem Patch MS16-072 (KB3163622) hat Microsoft den Prozess der Anwendung von Gruppenrichtlinien massiv verändert.

Problem

Typischerweise hat man bisher bei Gruppenrichtlinien (GPOs), die nicht auf die standardmäßige Gruppe Authentifizierte Benutzer (also Domänen-Benutzer und Domänen-Computer) angewendet werden sollten, diese Gruppe aus der Filterung entfernt und durch eigene Sicherheitsgruppen ersetzt und somit deren Wirkungsbereich eingerenzt bzw. beschränkt.

Dies gilt nur für den Benutzer-abhängigen Teil einer Gruppenrichtlinie. Nach der Installation des oben genannten Patches werden diese Einstellungen nicht mehr angewendet. Microsoft selbst erklärt in seinem KB-Artikel, dass der Patch zur Erhöhung der Sicherheit dient, da nun die Gruppenrichtlinien nicht mehr im Kontext des jeweils angemeldeten Benutzers angewendet werden, sondern im Sicherheitskontext des Computers auf dem sich der betreffende Benutzer anmeldet.

Beitrag weiterlesen …

Für alle, die bisher meine VBS-Skripte für Administratoren (siehe Download-Bereich) aus meinen bisherigen Artikeln (siehe Kategorie Skripte) nutzen bzw. einsetzen, habe ich heute die folgenden Skripte aktualisiert:

Admin-CMD.zip – Einstellungen der Kommandozeilen-Optionen via Registry
IE-Zoning.zip – Internet Explorer Zoneneinstellung für die interne Domäne
ProcExp.zip – Verteilung des Process Explorers innerhalb der Domäne
Quick-Launch-Admin.zip – Erstellung der Verknüpfungen in der Schnellstartleiste
Temp-Delete.zip (neu) – Löschen des Benutzer-temporären Ordner
Temp-System.zip – Erstellung und Anpassung der System-temporären Ordner
Temp-User.zip – Erstellung und Anpassung der Benutzer-temporären Ordner

Die Skripte habe ich teilweise erweitert und weitestgehend optimiert, sie sind nun schlanker. Für deren Einsatz in Windows Server 2003 Umgebungen (da die meisten Einstellungen unter Windows Server 2008 mit Hilfe der Gruppenrichtlinienerweiterungen umsetzbar sind) noch einmal ein kurze Anleitung:

Beitrag weiterlesen …

Wer (wie ich) viele Serversysteme zu betreuen hat, freut sich über jede Automatisierung, die den Administrator in seiner täglichen Arbeit unterstützt. In meinem heutigen Beitrag möchte ich meine kleine Lösung für die Weiterleitung von (bestimmten) Meldungen aus dem Ereignisprotokoll zur zentralen Überwachung und Auswertung präsentieren. Grundsätzlich ist die Überwachung (Monitoring) von IT-Landschaften extrem wichtig, informiert sie doch frühzeitig über mögliche, entstehende Probleme, auf die so im Vorfeld reagiert werden kann. Nach meiner Erfahrung kommt es nur sehr selten zu einem Komplettausfall einer Komponente, der durch eine geeignete Überwachung nicht hätte verhindert werden können.

Typischerweise interessieren den Administrator alle Fehlermeldungen (eventuell auch Warnungen) im System- und Anwendungsprotokoll eines Servers. Abhängig von der Angriffsfläche des Systems könnten auch erfolglose Anmeldeversuche aus dem Sicherheitsprotokoll von Interesse sein. Nun gibt es verschiedenste Lösungen auf dem Markt, die genau diese Anforderungen mehr oder weniger gut erfüllen können.

Beitrag weiterlesen …

Bei der Abarbeitung einer geänderten Gruppenrichtlinie erhielt ich auf einem Domänencontroller (Windows Server 2008) im Anwendungs-Ereignisprotokoll aller 3 Minuten die folgenden Fehlermeldungen:

Die Fehlermeldung verweist glücklicherweise an die richtige Stelle, ich hatte im Computer-abhängigen Teil der Richtlinie (Gruppenrichtlinien-Erweiterungen) einige Änderungen für Dateien und Ordner vorgenommen (GPO: Computerkonfiguration, Einstellungen, Windows-Einstellungen, Dateien bzw. Ordner).

Beitrag weiterlesen …

Vor dem Wochenende möchte ich Euch heute meine VBS-Skripte (Visual Basic Script) für die automatischen Einstellungen bzw. Verteilung von Dateien in reinen Windows Server 2003 Domänen präsentieren. Ich hatte ja in meinem Beitrag zu meinen Einstellungen für die Gruppenrichtlinenerweiterungen für Windows Server 2008 beschrieben, welche Möglichkeiten diese bieten und meine spezifische Konfiguration zum Download angeboten.

Leider besitzen noch sehr viele Kunden reine Windows Server 2003 Domänen, in denen diese neuen Funktionen nicht zur Verfügung stehen. Da ich aber ein Liebhaber von möglichst effektiven, automatisierten Lösungen bin, habe ich ein wenig Zeit investiert und die wichtigsten Einstellungen (der für mich relevanten Systemanpassungen) in die Tat umgesetzt. In diesem Beitrag werde ich nun beschreiben, welche Dinge benötigt werden und was selbige bewirken.

Beitrag weiterlesen …